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(54) TiUe: COUNTHIMEASURE METHOD IN AN ELECTRIC COMPONENT IMPLEMENTING AN ELLIPTICAL CURVE TYPE 
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(54) Titrc: PROCEDE DE CONTRE-MESURE DANS UN COMPOSANT ELECTRONIQUE METTANT EN OEUVRE UN ALGO- 
RTTHME DE CRYPTOGRAPHIE A CLE PUBLIQUE DE TYPE COURBE ELLIPTIQUE 



(57) Abstract 



The invention relates to a countermeasure method in an electronic component implementing an elliptical curve based public key 
cryptogr^hy algorithm, comprising the calculation of a new decryption integer d* such as die decryption of an encrypted message with the 
aid of a decryption algorithm on the basis of a private key d and the number of points n of said elliptical curve whereby the same result is 
achieved with d' as witti d, by performing the operation (}-d*P, whereby P is a point of the curve. The inventive measure is characterized 
in diat it comprises four steps: 1) a security parameter s is determined, whereby in practice it is impossible to take s as a neighbour of 30, 
2) a random numbw k ranging from 0-21s is drawn, 3) the integer d*-d+k*n is calculated, 4) Q-d'.P is calculated. 

(57) Abr^^ 



La pr6sente invention conceme un proc6d6 de contre-^nesure dans un composant 61ectn>nique mettant en oeuvre un algorithme de 
ciyptographie & cl6 publique bas£ sur Tutilisation des courbes elliptiques consistant k calculer k partir de la cl6 priv^ d et du nombre 
de points n de ladite cotnrbe elliptique un nouvel entier de d^ifliement d' tel que le d^chiftenent d'un message chifFrf quelconque, au 
moyen d'un algorithme de d6chiffrement, avec d' doraie le memc rfesultat qu'avec d, en rfialisant Top^ratiwi (2=d*P, P €tant un point de 
la couibe, proc^ cantct&is6 en ce qu*il comprend quatre Stapes: 1) determination d'un param^tre de s6curit6 s, dans la pratique on peut 
prendre s voisin de 30; 2) tiragc d'un nombre al6atoire k compris entre 0 et 21s; 3) calcul de rentier d'=^+k*n; 4) calcul de (J=d'.P. 
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PROCEDE DE CONTRE-MESURE DANS UN 
COMPOSANT ELECTRONIQUE METTANT EN CEUVRE 
UN ALGORITHME DE CRYPTOGRAPHIE A CLE 
PUBLIQUE DE TYPE COURBE ELLIPTIQUE 

La presente invention concerne un precede de 
contre-mesure dans un composant electronique 
mettant en ceuvre un aigorithme de chiffrement a 
cle publique de type courbe elliptique 

5 

Dans le module classique de la cryptographie a 
clef secrete, deux personnes desirant 
coramuniquer par 1' intermediaire d'un canal non 
securis^ doivent au prealabie se mettre d' accord 

10 sur une cle secrete de chiffrement K. La 
fonction de chiffrement et la fonction de 
dechif f rement utilisent la meme clef K. 
L' inconvenient du systeme de chiffrement k cle 
secrete est que ledit systeme requiert la 

15 communication pr§alable de la cle K entre les 
deux personnes par 1' interm6diaire d'un canal 
securise, avant qu'un quelconque message chiffre 
ne soit envoye a travers le canal non s§curise. 
Dans la pratique, il est generalement difficile 

20 de trouver un canal de communication 
parfaitement securis§, surtout si la distance 
separant les deux personnes est importante. On 
entend par canal securise un canal pour lequel 
il est impossible de connaitre ou de modifier 

25 les informations qui transitent par ledit canal. 
Un tel canal securis6 peut etre realise par un 
cable reliant deux terminaux, poss6des par les 
deux dites personnes. 



COPDE DE CONFIRMATION 



Le concept de cryptographie a clef publique fut 
invente par Whitfield DIFFIE et Martin HELLMAN 
en 1976. La cryptographie a clef publique permet 
de resoudre le probleme de la distribution des 
clefs a travers un canal non s6curise. Le 
principe de la cryptographie a clef publique 
consiste a utiliser une paire de clefs, une clef 
publique de chiffrement et une clef privee de 
d^chif f rement . II doit etre calculatoirement 
infaisable de trouver la clef privee de 
dechif f rement a partir de la clef publique de 
chiffrement. Une personne A desirant communiquer 
une information a une personne B utilise la clef 
publique de chiffrement de la personne B. Seule 
la personne B possede la clef privee associee a 
sa clef publique. Seule la personne B est done 
capable de dechiffrer le message qui lui est 
adresse . 

Un autre avantage de la cryptographie a cle 
publique sur la cryptographie a cle secrete est 
que la cryptographie a clef publique permet 
1 ' authentif ication par 1' utilisation de 

signature electronique . 

La premiere realisation de schema de chiffrement 
a clef publique fut mis au point en 1977 par 
Rivest, Shamir et Adleman, qui ont invente le 
systeme de chiffrement RSA. La securite de RSA 
repose sur la difficulte de factoriser un grand 
nombre qui est le produit de deux nombres 
premiers . 
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Depuis, de nombreux systemes de chiffrement a 
clef publique ont ete proposes, dont la securite 
repose sur differents problemes calculatoires : 
(cette liste n'est pas exhaustive). 

5 

- Sac a dos de Merckle-Hellman : 

Ce syst^me de chiffrement est bas6 sur la 
difficulty du probleme de la somme de sous- 
ensembles . 

10 

- McEliece : 

Ce systdme de chiffrement est base sur la 
theorie des codes algebriques. II est base sur 
le probleme du decodage de codes lineaires. 

15 

- ElGamal : 

Ce systeme de chiffrement est bas^ sur la 
difficulte du logarithme discret dans un corps 
f ini . 

20 

- Courbes elliptiques : 

Le systeme de chiffrement a courbe 
elliptique constitue une modification de 
systemes crypt ographiques existant pour les 
25 appliquer au domaine des courbes elliptiques. 

L' utilisation de courbes elliptiques dans 
des systemes cr yptographiques fut propose 
independamment par Victor Miller et Neal Koblitz 
30 en 1985. Les applications reelles des courbes 
elliptiques ont ete envisagees au debut des 
annees 1990. 
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L'avantage de cryptosyst6mes a base de courbe 
elliptique est qu'ils fournissent une securite 
equivalente aux autres cryptosystemes mais avec 
des tallies de clef moindres. Ce gain en taille 
5 de cle implique une diminution des besoins en 
mSmoire et une reduction des temps de calcul, ce 
qui rend 1 ' utilisation des courbes elliptiques 
particulierement adaptees pour des applications 
de type carte a puce. 

10 

Une courbe elliptique sur un corps fini 
GF(q'^n) (q 6tant un nombre premier et n un 
entier) est 1' ensemble des points (x,y) avec x 
I'abscisse et y I'ordonnee appartenant a GFCq^'n) 
15 solution de 1' equation : 

yA2=x^3+ax+b 

si q est superieur ou 6gal ^ 3 et 

20 

y^2 + x*y=x'^3-*-a*x'^2+b 
si q=2 . 

25 Les deux classes de courbes elliptiques les 

plus utilisees en cryptographie sont les classes 
suivantes : 

1) Courbes definies sur le corps fini GF{p) 
30 {ensemble des entiers modulo p, p etant un 

nombre premier) ayant pour equation: 



y^2=x^3+ax=b 
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2) Courbes elliptiques sur le corps fini 
GF(2'^n) ayant pour equation y''2 + xy=x'^3 + ax'^2 + b 

5 Pour chacune de ces deux classes de courbes, on 
d6finit une operation d' addition de points: 
6tant donne deux points P et Q, la somme R=P+Q 
est un point de la courbe, dont les 
coordonnees s'expriment k I'aide des 

10 coordonnees des points P et Q suivant des 

formules dont 1' expression est donn6e dans 
I'ouvrage « Elliptic Curve public key 
cryptosystem » par Alfred J. Menezes. 
Cette operation d' addition permet de definir une 

15 operation de multiplication scalaire: 6tant . 

donne un point P appartenant a une courbe 
elliptique et un entier d, le resultat de la 
multiplication scalaire de P par un point d 
tel que Q=d . P=P+PP . . . . +P d fois. 

20 

La securite des algorithmes de cryptographie sur 
courbes elliptiques est basee sur la difficulty 
25 du logarithme discret sur courbes elliptiques, 
ledit probleme consistant a partir de deux 
points Q et P appartenant a une courbe 
elliptique E, de trouver, s'il existe, un entier 
x tel que Q=x.P 

30 

II existe de nombreux algorithmes 

cryptographiques bases sur le probleme du 
logarithme discret . 
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Ces algorithmes sont facilement transposables 
aux courbes elliptiques. Ainsi, il est possible 
de mettre en oeuvre des algorithmes assurant 
1' authentif ication, la confident ialite , le 
5 controle d'integrite et I'echange de cle. 

Un point commun a la plupart des algorithmes 
cryptographiques bas6s sur les courbes 
elliptiques est qu'ils comprennent comme 

10 parametre une courbe elliptique definie sur un 
corps fini et un point P appartenant a cette 
courbe elliptique. La cle privee est un entier d 
choisi aleatoirement . La clef publique est un 
point de la courbe Q tel que Q=d.P. Ces 

15 algorithmes cryptographiques font gen6ralement 
intervenir une multiplication scalaire dans le 
calcul d'un point R=d . T ou d est la clef 
secrete . 

20 Dans ce paragraphe, on decrit un algorithme de 
chiffrement a base de courbe elliptique. Ce 
schema est analogue au schema de chiffrement 
d'El Gamal- Un message m est chiffre de la 
maniere suivante : 

25 

Le chiffreur choisit un entier k aleatoirement 
et calcule les points k.P=(xl,yl) et k.Q=(x2,y2) 
de la courbe, et I'entier c= x2 + m. Le chiffre 
de m est le triplet (xl,yl,c). 
30 Le d6chiffreur qui possede d dechiffre m en 
calculant : 

(x' 2, y' 2)=d(xl,yl) et m=c-x' 2 
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Pour realiser les multiplications scalaires 
necessaires dans les procede de calcul d6crits 
precedemment , plusieurs algorithmes existent : 

5 Algorithme double and add " ; 

Algorithme addition-sous tract ion " 
Algorithme avec chaines d' addition ; 
Algorithme avec fenetre ; 
Algorithme avec representation sign6e ; 

10 

Cette liste n' est pas exhaustive. L'algorithme 
le plus simple et le plus utilise est 
1' algorithme " double and add L' algorithme 

double and add " prend en entree un point P 

15 appartenant a une courbe elliptique donnee et un 
entier d. L' entier d est note d= (d (t ) , d ( t-1) , 
d(0)), ou (d{t) ,d(t-l),...,d{0) ) est la 

representation binaire de d, avec d(t) le bit de 
poids fort et d(0) le bit de poids faible. 

20 L'algorithme retourne en sortie le point Q=d . P . 

L' algorithme double and add " comporte les 3 
etapes suivantes : 

1 ) Initialiser le point Q avec la valeur P 

2) Pour i allant de t-1 a 0 ex6cuter : 
2a) Remplacer Q par 2Q 
2b) Si d(i)=l remplacer Q par Q+P 

3) Retourner Q. 



25 



30 
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II est apparu que 1 ' implementation sur carte a 
puce d'un algorithme de chiffrement . ^ cle 
publique du type c our be elliptique etait 
vulnerable a des attaques consistant en une 
5 analyse dif f erent ielle de consommation de 
courant permettant de retrouver la cle privee de 
dechif f rement . Ces attaques sont appelees 
attaques DPA, acronyme pour Differential Power 
Analysis. Le principe de ces attaques DPA repose 
10 sur le fait que la consommation de courant du 
microprocesseur executant des instructions varie 
selon la donnee manipulee. 

En particulier, lorsqu'une instruction manipu.le 
15 une donnee dont un bit particulier est constant, 
la valeur des autres bits pouvant varier, 
1 ' analyse de la consommation de courant liee a 
1 ' instruction montre que la consommation moyenne 
de 1 ' instruct ion n'est pas la meme suivant que 
20 le bit particulier prend la valeur 0 ou 1. 
L'attaque de type DPA permet done d'obtenir des 
informations supplementaires sur les donnees 
intermediaires manipulees par le microprocesseur 
de la carte lors de 1' execution d'un algorithme 
25 cryptographique . Ces informations 

supplementaires peuvent dans certain cas 
permettre de reveler les parametres prives de 
1' algorithme de dechif f rement , rendant le 
systeme cryptographique non sur. 



30 
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Dans la suite de ce document on decrit un 
precede d'attaque DPA sur un algorithme de type 
courbe elliptique realisant une operation du 
type multiplication scalaire d'un point P par un 
5 entier d, I'entier d etant la cle secrete. Cette 
attaque permet de reveler directement la cle 
secrete d. Elle compromet done gravement la 
securite de 1' implementation de courbes 
elliptiques sur une carte a puce. 

La premiere 6tape de 1' attaque est 
1 ' enregistrement de la consommation de courant 
correspondant a 1' execution de 1' algorithme 
double and add " decrit pr6cedemment pour N 
points distincts P(l),..., P(N). Dans un 
algorithme a base de courbes elliptiques, le 
microprocesseur de la carte a puce va effectuer 
N multiplications scalaires d. P { 1 ),..., d . P (N) • 

Pour la clarte de la description de 1' attaque, 
on commence par d6crire une methode permettant 
d'obtenir la valeur du bit d(t-l) de la cle 
secrete d, ou (d (t ) , d ( t-1 ) , d(0)) est la 

representation binaire de d, avec d{t) le bit de 
poids fort et d{0) le bit de poids faible. On 
donne ensuite la description d'un algorithme qui 
permet de retrouver la valeur de d. 

On groupe les points P(l) a P(N) suivant la 
valeur du dernier bit de I'abscisse de 4.P, oil P 
designe un des points P(l) a P(N). Le premier 
groupe est constitue des points P tels que le 
dernier bit de I'abscisse de 4.P est egal a 1. 
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Le second groupe est constitue des points P tels 
que le dernier bit de I'abscisse de 4.P est 6gal 
a 0. On calcule la moyenne des consommat ions de 
courant corr espondant a chacun des deux groupes, 
5 et on calcule la courbe de difference entre ces 
deux moyennes- 

Si le bit d(t-l) de d est egal k 0, alors 
1 ' algorithme de multiplication scalaire 
precedemment d6crit calcule et met en memoire la 
valeur de 4. P. Cela signifie que lors de 
1' execution de 1' algorithme dans une carte a 
puce, le microprocesseur de la carte va 
ef f ectivement caleuler 4. P. Dans ce cas, dans le 
premier groupe de message le dernier bit de la 
donnee manipulee par le microprocesseur est 
toujours a 1, et dans le deuxieme groupe de 
message le dernier bit de la donn6e manipulee 
est toujours a 0* La moyenne des consommat ions 
de courant cor respondant ^ chaque groupe est 
done differente. II apparait done dans la courbe 
de difference entre les 2 moyennes un pic de 
differentiel de consommation de courant. 

Si au contraire le bit d{t-l) de d est egal a 
1, 1' algorithme d' exponent iation decrit 

pr6c6demment ne calcule pas le point 4. P. Lors 
de I'execution de I'algorithme par la carte a 
puce, le microprocesseur ne manipule done jamais 
la donnee 4 -P. II n' apparait done pas de pic de 
differentiel de consommation. 
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Cette methode permet done de determiner la 
valeur du bit d(t-l) de d. 

L' algorithme decrit dans le paragraphe suivant 
5 est une generalisation de 1 ' algorithme 
precedant. II permet de determiner la valeur de 
la cle secrete d : 

On definit 1' entree par N points notes P(l) a 
10 P{N) correspondant a N calculs realises par la 
carte a puce et la sortie par un entier h, 

Ledit algorithme s'effectue de la manidre 
suivante en trois etapes. 

1) Ex^cuter h=l ; 

2) Pour i allant de t-1 a 1, executer : 
2)l)Classer les points P(l) ^ P(N) suivant la 

valeur du dernier bit de I'abscisse de 
(4*h) .P ; 

2)2) Calculer la moyenne de consommation de 

courant pour chacun des deux groupes ; 
2)3) Calculer la difference entre les 2 
moyennes ; 

2)4) Si la difference fait apparaltre un pic de 
differentiel de consommation, faire 
h=h*2 ; sinon faire h=h*2+l ; 

3) Retourner h. 

30 L' algorithme precedent fournit un entier h tel 
que d=2*h ou d=2*h+l. Pour obtenir la valeur de 
d, il suffit ensuite de tester les deux 
hypotheses possibles . 



15 



20 



25 
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L'attaque de type DPA decrite permet done de 
retrouver la cle privee d. 

Le precede de 1' invention consiste en 
5 1 ' elaboration de trois contre-mesures permettant 
de se premunir centre I'attaque DPA precedeitiinent 
decrite . 

Le precede de la premiere contre-mesure consiste 
10 a calculer a partir de la cle privee d et du 
noiabre de points n de la courbe elliptique un 
nouvel entier de dechif f rement d' , tel que le 
dechif f rement d'un message chiffre quelconque 
avec d' donne le meme resultat qu'avec d. 

15 

Dans le cas d'un algorithme cryptographique base 
sur 1 ' utilisation de courbes elliptiques 
realisant 1' operation Q=d.P ou d est la cle 
privee et P un point de la courbe, le calcul de 
20 Q=d.P est remplace par le precede suivant en 
quatre etapes: 

1) Determination d'un parametre de securite s, 
dans la pratique on peut prendre s voisin de 30. 

25 

2) Tirage d'un nombre aleatoire k compris entre 
0 et 2''s; 

3) Calcul de 1' entier d'=d+k*n; 

30 

4) Calcul de Q=d' . P. 
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Le procede de la premiere cont re-mesure comprend 
deux variantes qui concernent la mise a jour de 
I'entier d' . La premiere variante consiste en ce 
qu'un nouvel entier de dechif f r eraent d'est 
5 calcule a chaque nouvelle execution de 
I'algorithme de dechif frement , selon le proc6de 
decrit precedemment . La seconde variante 
consiste en ce qu'un compteur est incremente a 
chaque nouvelle execution de I'algorithme de 
10 dechif frement . Lorsque ce compteur atteint une 
valeur fixee T, un nouvel entier de 
dechif frement d' est calcule selon le procede 
decrit precedemment, et le compteur est remis a 
z§ro- Dans la pratique, on peut prendre T=16. 

15 

Le procede de la premiere contre-mesure rend 
done I'attaque DPA precedemment decrite 
impossible en changeant d' entier d de 
dechif frement . 

20 , 

Le procede de la deuxieme contre-mesure 
s' applique a la premiere classe de courbes 
precedemment decrites, c'est a dire les courbes 
definies sur le corps fini GF(p) ayant pour 

25 equation y^2=x'^3 + ax+b . Le procede de la deuxieme 
contre-mesure consiste a utiliser un module de 
calcul aleatoire a chaque nouvelle execution. Ce 
module aleatoire est de la forme p'= p*r oil r 
est un entier aleatoire- L' operation de 

30 multiplication scalaire Q=d-p realisee dans un 
algorithme a base de courbe elliptique 
s'effectue alors selon le procede suivant en 
cinq etapes: 
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1) Determination d' un parametre de securite se- 
dans la pratique, on peut prendre s voisin du 
nombre 60; 

5 2) Tirage du nombre aleatoire r dont la 
representation binaire fait s bits; 

3) Calcul de p'=p*r; 

4) Executer 1' operation de multiplication 
scalaire Q=d.P, les operations etant effectu6es 

10 modulo p''; 

5) Effectuer 1' operation de reduction modulo p 
des coordonnees du point Q. 

Le precede de la seconde contre-mesure comprend 
deux variantes qui concernent la mise a jour de 
I'entier r. La premiere variante consiste en ce 
qu'un nouvel entier r est calcule a chaque 
nouvelle execution de I'algorithme de 
dechif f rement , selon le proc6de d6crit 
precedemment - La seconde variante consiste en ce 
qu'un compteur est increment^ a chaque nouvelle 
execution de I'algorithme de dechif f rement . 
Lorsque ce compteur atteint une valeur fix »e T, 
un nouvel entier r est calcule selon le precede 
decrit prec6demment , et le compteur est remis a 
zero., Dans la pratique, on peut prendre T+16. 

Le precede de la troisieme contre-mesure 
consiste a « masquer » le point P sur lequel on 
30 veut appliquer I'algorithme de multiplication 
scalaire en lui ajoutant un point aleatoire R. 



15 



Le precede de multiplication scalaire d'un point 
P par un entier d suivant Q=d.P comprend les 
cinq etapes suivantes: 

1) Tirage d'un point aleatoire R sur la courbe; 

2) Calcul de P' =P+R; 

3) Operation de multiplication scalaire Q'=d.P'; 

4) Operation de multiplication scalaire S=d.R; 

5) Calcul de Q-Q' - S. 

Le precede de la troisieme cont re-mesure 
comprend trois variantes. la premiere variante 
consiste en ce qu'un compteur est incremente a 
chaque nouvelle execution de I'algorithme de 
dechif f rement . Lors de la premiere execution de 
I'algorithme de dechif f rement , I'algorithme est 
execute suivant le precede en cinq §tapes decrit 
precedemment - Tant que le compteur n'a pas 
atteint la valeur limite T, les etapes 1 et 4 du 
precede decrit precedemment ne sont pas 
executees, les points R et S gardant les vaieurs 
prises lors de 1' execution precedente, Lorsque 
le compteur atteint la valeur limite 
I'algorithme de dechif f rement s »effectue 
suivant le precede decrit precedemment en cinq 
etapes, et le compteur est remis a zero. Dans la 
pratique, on peut prendre T=16, 
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La deuxieme variante consiste en ce que la carte 
possede init ialeinent en memoire deux points de 
la courbe elliptique tels que S=d.R. Les etapes 
1 et 4 de 1 ' algorithme de dechif f rement 
5 precedent sont remplacees par les etapes 1' et 
4' suivantes: 

1') Remplacer R par 2.R: 

10 4') Remplacer S par 2.S. 

La troisi^me variante consiste en une 
modification de la deuxieme variante 

caracterisee en ce qu'un compteur est incremente 

15 a chaque nouvelie execution de 1' algorithme de 
dechi ff rement . Lors de la premiere execution de 
1' algorithme de dechif f rement , 1' algorithme est 
execute suivant le proc6de en cinq 6tapes de la 
deuxieme variante decrit precedemment . Tant que 

20 le compteur n' a pas atteint une valeur limite T, 
les Stapes 1' et 4' du precede decrit 
precedemment ne sont pas executees, les points R 
et S gardant les valeurs prises lors de 
1' execution precedente, Lorsque le compteur 

25 atteint une valeur limite T, 1' algorithme de 
dechif f rement s'effectue suivant le procede 
precedemment decrit en cinq 6tapes, et le 
compteur est remis a zero. Dans la pratique, on 
peut prendre T=16. 

30 
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L' application des trois procedes de contre- 
mesure precedents permet de proteger tout 
I'algorithme cryptographique base sur les 
courbes elliptiques contre I'attaque DPA 
5 pr^cedemment decrit. Les trois cent re-mesures 
presentees sont de plus compatibles entre elles : 
il est possible d' appliquer k I'algorithme de 
dechif f rement RSA une, deux ou trois des contre- 
mesures decrites . 
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REVENDICATIONS 

1- Precede de contre-mesure dans un composant 
electronique mettant en oeuvre un algorithme de 
cryptographie a cie publique base sur 
1 ' utilisation des courbes elliptiques consistant 

5 a calculer a partir de la cle privee d et du 
nombre de points n de ladite courbe elliptique 
un nouvel entier de dechif f rement d' tel que le 
dechif f rement d'un message chiffre queiconque, 
aumoyen d ' un algorithme de d6chif f remet , avec d' 
10 donne le meme resultat qu'avec d, en realisant 
1' operation Q=d*P, P etant un point de la 
courbe, precede caracterise en ce qu'il comprend 
quatre 6tapes: 

15 1) Determination d'un parametre de securite s, 
dans la pratique on peut prendre s voisin de 30; 
2) Tirage d'un nombre aleatoire k compris entre 
0 et 2'^s; 

20 3) Calcul de I'entier d'=d+k*n; 
4 ) Calcul de Q=d' .P. 

2- Procede de contre-mesure selon la 
25 revendication 1 caract6ris6 en ce qu'une 

premiere variante consiste en ce qu ' un nouvel 
entier de dechif f rement d' est calcule a chaque 
nouvelle execution de 1' algorithme de 
dechif f rement . 

30 
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3- Procede de cont re-mesure selon la 
revendication 1 caracterise en ce qu'une seconds 
variants consiste en ce qu ' un compteur est 
increments ^ chaque nouvelle execution de 

5 I'agorithme de dechif f rement jusqu'a atteindre 
une valeur fixee T, 

4- Procede de cont re-mesure selon la 
revendication 3 caracterise en ce qu'une fois la 

10 valeur T atteinte, un nouvel entier de 
chiffrement est calcule selon le procede de la 
revendication 1 et le compteur est remis a zero. 

5- Proced6 de cont re-mesure selon la 
15 revendication 3 caracterise la valeur T est 

6gale a I'entier seize. 

6- Procede de cont re-mesure dans un composant 
electronique mettant en oeuvre un algorithme de 

20 cryptographie a cle publique bas6 sur 
1 ' utilisation des courbes elliptiques definies 
sur un corps fini GF(p)r P 6tant un nombre 
premier, ayant pour equation y'^2=x'^3+ax+b, 
consistant a utiliser un module de calcul 

25 aleatoire a chaque nouvelle execution de la 
forme p*=p*r ou r est un entier al6atoire et 
presentant un point P caracterise en ce que 
ledit procede execute I'operation de 

multiplication scalaire en cinq etapes: 



30 
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1) Determination d'un parametre de securite s; 
dans la pratique, on peut prendre s voisin du 
nombre 60; 

2) Tirage du nombre aleatoire r dont la 
5 representation binaire fait s bits; 

3) Calcul de p'=p*r; 

4) Executer 1' operation de multiplication 
scalaire Q=d.P, les operations 6tant ef features 
modulo p' ; 

10 5) Effectuer 1' operation de reduction modulo p 
des coordonnees du point Q. 

7- Procede de contre-mesure selon la 
revendication 6 caracterise en ce qu ' un nouvel 

15 entier est calcule a chaque nouvelle execution 
de I'algorithme de dechif f rement . 

8- Procede de contre-mesure selon la 
revendication 6 caracterise en ce qu'un compteur 

20 est incremente a chaque nouvelle execution de 
I'algorithme de dechif f rement . 

9- Procede de contre-mesure selon la 
revendication 8 caracterise en ce que le 

25 compteur est remis a zero iorsqu'il a atteint 
une valeur T. 

10- Procede de contre-mesure selon la 
revendication 8 ou la revendication 9 

30 caracterise en ce que la valeur T est egale a 
seize . 
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11. Procede de contre-mesure dans un composant 
electronique mettant en oeuvre un algorithme de 
cryptographie a cle publique base sur 
5 1 • utilisation des courbes elliptiques consistant 
a calculer a partir de la cle privee d at du 
nombre de points n de ladite courbe elliptique 
un nouvel entier de dechi f f rement d' tel que le 
dechif f rement d'un message chiffre quelconque, 

10 aumoyen d'un algorithme de dechif fremet , avec d' 
donne le meme resultat qu'avec d, en realisant 
1' operation Q=d*P, P etant un point de la courbe 
sur lequel est applique 1' algorithme de 
multiplication scalaire en lui ajoutant un point 

15 aleatoire R par un entier d suiavant 1' equation 
Q=d*P, procede caracterise en ce qu'il comprend 
cinq etapes suivantes: 

1) Tirage d'un point aleatoire R sur la courbe; 

20 

2) Calcul de P'=P+R; 



3) Operation de multiplication scalaire Q'=d.P'; 
25 4) Operation de multiplication scalaire S=d.R; 
5) Calcul de Q=Q' - S. 

12- Procede de contre-mesure selon la 
30 revendication 12 caracterise en ce qu ' un 
compteur est increment^ a chaque nouvelle 
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execution de 1 ' algori thme de dechif f rement 
jusqu'a une valeur T. 



13- Precede de contre-mesure selon la 

5 revendication 12 caracteris6 en ce que le 

compteur est remis a zero une fois atteint la 

valeur T. 



14- Procede de contre-mesure selon la 

10 revendication 12 caracterise en ce qu ' un 
compteur est incremente a chaque nouvelle 
execution de I'algorithme de dechif f rement 
jusqu'a une valeur T. 

15 15- Procede de contre-mesure selon la 
revendication 11 caracterise en ce que la courbe 
elliptique possede en memoire deux points tels 
que S=d*R, les etapes 1 et 4 etant alors 
remplace par les etapes 1 ' et 4 ' : 

20 

1') Remplacer R par 2.R: 
4') Remplacer S par 2.S. 



25 16- Proc§d6 de contre-mesure selon la 
revendication 15 caracterise en ce qu ' un 
compteur est incremente a chaque nouvelle 
execution de I'algorithme de dechif f rement 
jusqu'a une valeur T. 



30 
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17- Precede de cont re-mesure selon la 
revendica t ion 15 caracteris^ en ce qu ' un 
compteur est incremente a chaque nouvelle 
execution de 1 ' algorithme de dechif f rement 
5 jusqu'a une valeur T. 
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